我们不但可以亡羊补牢
更擅长未雨绸缪

关注我们

您的位置: 主页 > 支持与下载 > IT知识库 >
IT知识库

如何溯源黑客攻击服务器
时间:2020-11-04 作者:xnit 点击:

在政府、企事业单位以及行业用户投入大量人力财力在服务器安全防护之后,恶性网络安全事件仍频生不断,其隐蔽复杂多变的网络攻击手段,使得企业安全管理部门难以发现甚至无以感知,往往造成难以估量的巨大损失,事后又难于历史回溯取证和进行责任界定。
 
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDOS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。当服务器被黑客攻击时,该如何去查找溯源呢?
 
关于这一点呢,小诺把小诺的工作程序给亲们分享一下。
 
首先要分析对方的目的是什么,就是最终目标是做什么。然后根据小诺经验分析达到这个目标都需要什么操作然后逆推回去。
 
 
​下面是主要的溯源分析思路
 
网站源码分析
 
日志分析
 
服务器端口分析
 
分析进程端口
 
分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。
 
接着说一下日志,通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。
 
服务器端口方面,打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 java端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。
 
至于分析进程端口呢,主要是检查服务器是否有黑客留下的木马程序。一般来说这方面网络上已经存在相应的软件工具,使用工具一是查看端口占用情况,二是分析可疑端口的 pid 进程,对症下药
 
当服务器遭到攻击时亲们企业不要心慌,先做好必要的安全防御,关闭不需要的端口,进行攻击溯源注意每一个细节,以后在遇到溯源的活,做的时候就可以更系统一些。